Abo
  • IT-Karriere:

Paketmanager: Homebrew vergisst Zugangstoken auf öffentlichem Server

Beim beliebten Paketmanager Homebrew für MacOS ist es möglich gewesen, unbefugt Commits im offiziellen Github-Repo des Projekts einzufügen. Grund war ein öffentlich einsehbarer Github-API-Token.

Artikel veröffentlicht am ,
Github-API-Token in der öffentlichen Jenkins-Instanz des Homebrew-Projekts.
Github-API-Token in der öffentlichen Jenkins-Instanz des Homebrew-Projekts. (Bild: Eric Holmes)

Der Entwickler Eric Holmes hat in der öffentlich zugänglichen Jenkins-Instanz des Homebrew-Projekts einen Zugangstoken für das Github-Verzeichnis des weitverbreiteten Paketmanagers für MacOS gefunden. Damit war es ihm eigenen Angaben zufolge möglich, Schreibrechte für die zentralen Repos 'brew', 'homebrew-core' und 'formulae.brew.sh' zu erlangen und eigene Commits einzustellen.

Stellenmarkt
  1. ista International GmbH, Essen
  2. Leopold Kostal GmbH & Co. KG, Hagen

"Ich bin mit dem Ziel herangegangen zu schauen, ob ich mir Zugang zum Github-Repository von Homebrew verschaffen kann. Nur 30 Minuten später habe ich meinen ersten Commit in Homebrew/homebrew-core eingestellt", schreibt Holmes auf dem Blogging-Portal Medium. Auf seiner Suche habe er die offenbar bewusst öffentlich zugängliche Jenkins-Instanz des Projekts gefunden und sei dort schnell auf einen API-Token für Github aufmerksam geworden. Dieser gewährte ihm volle Commit-Rechte auf die zentralen Github-Repos von Homebrew.

Ein lohnendes Angriffsziel

Paketmanager spielen eine zentrale Rolle bei der sicheren Verteilung und Aktualisierung von Software über das Internet. "Homebrew hat Hunderttausende von Nutzern, einschließlich in einigen der größten Silicon-Valley-Firmen. Das am häufigsten installierte Paket der vergangenen 30 Tage ist Openssl mit über 500.000 Downloads", schreibt Holmes. "Wenn ich Böses gewollt hätte, hätte ich mit einer kleinen, wahrscheinlich unbemerkten Änderung an der Installationsformel des Openssl-Pakets eine Hintertür auf jedem Gerät platzieren können, das Openssl installiert." Diese Art von "Supply-Chain-Attacken" seien eine echte und andauernde Bedrohung. Obwohl der Fehler klar bei Homebrew liegt, ist dies Holmes zufolge keine Homebrew-spezifische Schwäche. Es handele sich stattdessen um ein systemisches Problem der Softwareindustrie. Die IT-Sicherheitsforschung müsse sich mehr mit Paketmanagern beschäftigen, schreibt er.

Problem schnell gelöst

Durch Holmes informiert, widerrief das Homebrew-Team den Zugangstoken offenbar innerhalb weniger Stunden. In einem Security Advisory heißt es außerdem, keines der Pakete im Repository sei kompromittiert worden. "Wir haben den Github-Support kontaktiert und sie haben überprüft, dass der betroffene Token nicht benutzt wurde, um irgendwelchen Code in die Repositories zu pushen."

Zudem seien weitere, in die Zukunft gerichtete Sicherheitsmaßnahmen ergriffen worden. Das Projekt nutze nun Branch Protection, eine Github-Funktion die nicht korrigierbare Code-Änderungen verhindert, und habe Zwei-Faktor-Authentifizierung via SMS deaktiviert. Holmes Empfehlung, in Zukunft auch auf GPG-signierten Code zu setzen, habe das Homebrew-Team aber als zu unpraktikabel verworfen.



Anzeige
Spiele-Angebote
  1. (-76%) 8,99€
  2. 2,99€
  3. 4,99€
  4. 38,99€

bioharz 09. Aug 2018

Ja, Windows ist unpraktibalel für Entwickler. Sie sollten vielleicht in Erwägung ziehen...

mcnesium 08. Aug 2018

Heute gewinnt auf jeden Fall das hier.


Folgen Sie uns
       


Huawei P30 Pro - Test

5fach-Teleobjektiv und lichtstarker Sensor - das Huawei P30 Pro hat im Moment die beste Smartphone-Kamera.

Huawei P30 Pro - Test Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
    Zulassung autonomer Autos
    Der Mensch fährt besser als gedacht

    Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
    Von Friedhelm Greis

    1. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
    2. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus
    3. Ingolstadt Audi vernetzt Autos mit Ampeln

    Sicherheitslücken: Zombieload in Intel-Prozessoren
    Sicherheitslücken
    Zombieload in Intel-Prozessoren

    Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
    Ein Bericht von Marc Sauter und Sebastian Grüner

    1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
    2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
    3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

      •  /